Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Svarbu: Anksčiau šiame straipsnyje nurodytos leidimo datos pasikeitė. Atkreipkite dėmesio į naujas leidimo datas, esančias skyriuose "veiksmas" ir "šių" Windows Update "laikas".

Suvestinė

Saugos funkcijų aplinkkelio pažeidžiamumas yra kaip rakto paskirstymo centras (KDC) nustato, ar Kerberos paslaugos bilietas gali būti naudojamas delegacijai per Kerberos apribotą perdavimą (KCD). Norėdami naudoti pažeidžiamumą, pažeista tarnyba, sukonfigūruota naudoti KCD, gali suklastoti Kerberos paslaugos bilietą, kuris negalioja delegacijai, siekiant priversti KDC jį priimti. Šie "Windows" naujinimai sprendžia šį pažeidžiamumą pakeitę, kaip KDC patikrina "Kerberos" aptarnavimo bilietus, naudojamus su KCD.

Norėdami sužinoti daugiau apie šį pažeidžiamumą, žiūrėkite CVE-2020-17049

Imtis veiksmų

Norėdami apsaugoti aplinką ir išvengti pertrūkių, turite atlikti šiuos veiksmus:

  1. Atnaujinkite visus įrenginius, kuriuose "Active Directory" domeno valdiklio vaidmuo diegiami diegiant bent vieną "Windows" naujinimą nuo gruodžio 8, 2020 ir kovo 9 d., 2021. Turėkite omenyje, kad įdiegus "Windows" naujinimą, nevisiškai sušvelninami saugos pažeidžiamumas. Taip pat turite atlikti 2 ir 3 veiksmus.

  2. Atnaujinkite visus įrenginius, kuriuose pagrindinis "Active Directory" domeno valdiklio vaidmuo įdiegiami įdiegus "Windows Update" 2021 balandžio 13 d.

  3. Įgalinti Vykdymo režimas visuose "Active Directory" domeno valdikliuose.

  4. Pradedant liepos 13, 2021 vykdymo fazės naujinimu, vykdymo režimas bus įgalintas visuose "Windows" domeno valdikliuose.

Šių "Windows" naujinimų laikas

Šie "Windows" naujinimai bus išleisti trimis etapais:

  • Pradinis diegimo etapas, skirtas "Windows" naujinimams, išleistoms arba po gruodžio 8 d., 2020.

  • Antras diegimo etapas, pašalinantis Performticketsignature parametrą 0 ir reikalaujantis nustatyti 1 arba 2, arba po balandžio 13, 2021.

  • Vykdymo etapas, skirtas "Windows" naujinimams, išleistoms liepos 13 d. arba po 2021.

Gruodžio 8, 2020: pradinio diegimo etapas

Pradinis diegimo etapas prasideda "Windows Update", išleistame gruodžio 8 d., 2020 ir tęsia naujesnę "Windows Update", skirtą vykdymo etapui. Šie ir vėlesni "Windows" naujinimai pakeis "Kerberos". Šis gruodžio 8, 2020 naujinimas yra visų žinomų problemų, iš pradžių nustatytų lapkričio 10 d., 2020 išleidimo CVE-2020-17049, pataisymai. Šis naujinimas taip pat įtraukia palaikymą, skirtą "Windows Server" 2008 SP2 ir "Windows Server 2008 R2".

Šis leidimas:

  • Adresai CVE-2020-17049 (pagal numatytuosius diegimo režimus).

  • Palaikomi Performticketsignature registro reikšmė, leidžianti įgalinti apsaugą "Active Directory" domeno valdiklio serveriuose. Pagal numatytuosius nustatymą Ši reikšmė neegzistuoja.

Mažinimas susideda iš "Windows" naujinimų diegimo visuose įrenginiuose, kuriuose yra "Active Directory" domeno valdiklio vaidmuo ir tik skaitymo domeno valdikliai (RODCs), tada įgalinant vykdymo režimą.

Balandžio 13, 2021: antrojo diegimo etapas

Antrasis diegimo etapas pradedamas "Windows Update", išleistame balandžio 13, 2021. Šis etapas pašalina Performticketsignature parametrą 0. Įdiegus šį naujinimą, parametras performticketsignature0 turės tokį patį efektą, kaip parametro performticketsignature į 1. DCs bus diegimo režimu.

Pastabos

  • Šis etapas nebūtinas, jei Performticketsignature niekada nebuvo nustatytas į 0 jūsų aplinkoje. Šis etapas padeda užtikrinti, kad Klientai, nustatę Atliktiticketsignature į 0 , būtų perkelti į 1 nustatymą prieš vykdymo etapą.

  • Naudojant "2021" balandžio 13 d., "" naujinimus, nustačius " Performticketsignature " 1 , bus galima pratęsti aptarnavimo bilietus. Tai veiksmas iš anksto balandžio "2021" "Windows Update", kai nustatomas "" Windows " , kad būtų galima naudoti" Service "bilietus, kai" 1 ".

  • Šis naujinimas daro prielaidą, kad visi domeno valdikliai atnaujinti gruodžio 8 d., "2020" naujinimai arba vėlesni naujinimai.

  • Įdiegus šį naujinimą ir rankiniu būdu arba programiniu parametru Performticketsignature į 1 arba naujesnę, nepalaikomi "Windows Server" domenų valdikliai nebeveiks su palaikomais domeno valdikliais. Tai yra "Windows Server" 2008 ir "Windows Server 2008 R2", nenaudojant išplėstinio saugos naujinimų (ESU) ir "Windows Server 2003".

2021 liepos 13 d.: vykdymo etapas

Liepos 13 d. "2021" leidimo perėjimai į vykdymo etapą. Vykdymo etapas užtikrina "CVE-2020-17049" adreso keitimą. "Active Directory" domenų valdikliai dabar gali vykdyti vykdymo režimą. Kai bus vykdomas vykdymo režimas, visi "Active Directory" domeno valdikliai turi įdiegtą gruodžio 8, 2020 naujinimą arba naujesnę "Windows" naujinimą. Šiuo metu " Performticketsignature " registro rakto parametrai bus ignoruojami, o vykdymo režimo negalima perrašyti. 

Diegimo instrukcijos

Prieš diegiant šį naujinimą

Prieš taikydami šį naujinimą, turite įdiegti šiuos būtinus naujinimus. Jei naudojate "Windows" naujinimą, prireikus šie naujinimai bus pasiūlyti automatiškai.

Svarbu Įdiegę šiuos būtinus naujinimus, turite iš naujo paleisti įrenginį.

Visų naujinimų diegimas

Norėdami išspręsti saugos pažeidžiamumą, įdiekite visus "Windows" naujinimus ir įgalinkite vykdymo režimą atlikdami šiuos veiksmus:

  1. Įdiekite bent vieną iš naujinimų nuo gruodžio 8, 2020 ir kovo 9, 2021 visiems "Active Directory" domeno valdikliams miške.

  2. Įdiekite balandžio 12, 2021 atnaujinti bent vieną ar daugiau savaičių po 1 veiksmo.

  3. Kai visi "Active Directory" domeno valdikliai buvo atnaujinti, Palaukite bent visą savaitę , kad būtų leidžiama atlikti visas neapmokėtas paslaugas vartotojui savarankiškai (S4U2self) "Kerberos" tarnybos bilietai nustos galioti, o tada visiška apsauga gali būti įgalinta diegiant "Active Directory" domeno valdiklio vykdymo režimą.

    Pastabų

    • Jei iš numatytųjų parametrų (numatytasis parametras yra 7 dienos) modifikavote "Kerberos" tarnybos bilieto galiojimo laiką, tada turite palaukti bent kiek dienų, kiek konfigūruota jūsų aplinkoje.

    • Šie veiksmai daro prielaidą, kad Performticketsignature niekada nebuvo nustatytas į 0 jūsų aplinkoje. Jei Performticketsignature nustatyta į 0, turite pereiti prie parametro 1 prieš pereidami į 2 nustatymą (vykdymo režimas) ir palaukite bent savaitę, kad visi neįvykdyti tarnybos vartotojai galėtų savarankiškai (S4U2self) Kerberos paslaugos bilietai nustos galioti. Jei norite nustatyti 2 (vykdymo režimas), neturėtumėte pereiti tiesiogiai iš 0 parametro.


1 veiksmas: "Windows" naujinimų diegimas

Įdiekite atitinkamus gruodžio 8, 2020 "Windows Update" arba naujesnę "Windows" naujinimą į visus įrenginius, kuriuose yra "Active Directory" domeno valdiklio vaidmuo miške, įskaitant tik skaityti skirtus domeno valdiklius.

"Windows Server" produktas

KB #

Naujinimo tipas

"Windows Server", 20H2 versija (serverio branduolio įdiegtis)

4592438

Saugos naujinimas

"Windows Server", 2004 versija (serverio branduolio įdiegtis)

4592438

Saugos naujinimas

"Windows Server", 1909 versija (serverio branduolio įdiegtis)

4592449

Saugos naujinimas

"Windows Server", 1903 versija (serverio branduolio įdiegtis)

4592449

Saugos naujinimas

"Windows Server 2019" (serverio branduolio įdiegtis)

4592440

Saugos naujinimas

"Windows Server" 2019

4592440

Saugos naujinimas

"Windows Server 2016" (serverio branduolio įdiegtis)

4593226

Saugos naujinimas

„Windows Server 2016“

4593226

Saugos naujinimas

"Windows Server" 2012 R2 (serverio branduolio įdiegtis)

4592484

Mėnesinis apibendrinimo

4592495

Tik sauga

„Windows Server 2012 R2“

4592484

Mėnesinis apibendrinimo

4592495

Tik sauga

"Windows Server 2012" (serverio branduolio įdiegtis)

4592468

Mėnesinis apibendrinimo

4592497

Tik sauga

„Windows Server 2012“

4592468

Mėnesinis apibendrinimo

4592497

Tik sauga

"Windows Server 2008 R2" 1 pakeitimų paketas

4592471

Mėnesinis apibendrinimo

4592503

Tik sauga

„Windows Server 2008“ 2 pakeitimų paketui

4592498

Mėnesinis apibendrinimo

4592504

Tik sauga

2 veiksmas: įgalinkite vykdymo režimą

Atnaujinus visus įrenginius, kuriuose buvo atnaujinti "Active Directory" domeno valdiklio vaidmuo, Palaukite bent visą savaitę , kad visi neįvykdyti S4U2self "Kerberos" tarnybos bilietai pasibaigtų. Tada įgalinkite visiška apsauga įdiegdami vykdymo režimą. Norėdami tai padaryti, įgalinkite vykdymo režimo registro raktą.

Įspėjimas Jei registrą modifikuosite netinkamai naudodami registro rengyklę arba kitu būdu, gali kilti rimtų problemų. Šioms problemoms gali reikėti iš naujo įdiegti operacinę sistemą. "Microsoft" negarantuoja, kad šias problemas galima išspręsti. Modifikuokite registrą savo pačių rizika.

Pastaba Šis naujinimas pateikia šios registro reikšmės palaikymą, kad įgalintumėte vykdymo režimą. Šio registro reikšmė nesukuriama diegiant šį naujinimą. Šią registro reikšmę reikia įtraukti neautomatiškai.

Registro dalinis raktas

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Reikšmę

PerformTicketSignature

Duomenų tipas

REG_DWORD

Duomenų

1: įjungia diegimo režimą. Pataisa įgalinta domeno valdiklyje, tačiau "Active Directory" domeno valdiklyje nereikalaujama, kad "Kerberos" paslaugos bilietai atitiktų pataisymą. Šis režimas įtraukia bilietų parašų palaikymą "CVE-2020-17049" atnaujintose domeno valdikliuose, tačiau domeno valdikliuose nereikalaujama, kad būtų pasirašyti bilietai. Taip galima naudoti pradinį diegimo etapą (DCs atnaujinama iki gruodžio pradinio diegimo naujinimo) ir atnaujinti domeno valdikliai. Visi domeno valdikliai atnaujinti ir nustatyti 1, visi nauji bilietai bus pasirašyti. Šiuo režimu nauji bilietai bus pažymėti kaip atsinaujinantys.

2: įgalina vykdymo režimą tai leidžia taisyti reikiamą režimą, kai visi domenai turi būti atnaujinti ir visi "Active Directory" domeno valdikliai reikalauja "Kerberos" tarnybos bilietų su parašais. Šiuo parametru Visi bilietai turi būti pasirašyti, kad būtų laikomi galiojančiais. Šiuo režimu bilietai vėl bus pažymėti kaip atsinaujinantys.

0: nerekomenduojama. Išjungia "Kerberos" aptarnavimo bilietų parašus ir jūsų domenai neapsaugoti.

Svarbu 0 parametras nesuderinamas su vykdymo parametru 2. Jei vykdymo režimas taikomas vėliau, kai domenas nustatytas į 0, gali įvykti nepastovus autentifikavimas. Rekomenduojame klientams pereiti į 1 nustatymą prieš vykdymo etapą (bent prieš savaitę prieš taikant vykdymą).

Numatytąjį

1 (kai nėra nustatytas registro raktas)

Ar reikia paleisti iš naujo?

Ne
Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×